이번에 발견된 새로운 랜섬웨어는 키예프 지하철을 포함해 우크라이나의 일부 주요 인프라를 공격해 많은 피해를 입혔다.

이셋 제품에 의해 ‘Win32/Filecoder.D’ 로 진단되는 배드 래빗 랜섬웨어는 인기 있는 사이트의 보안 취약점을 이용해 HTML 본문이나 .js 파일에 특정 스크립트를 삽입한 후 해당 사이트 방문자를 대상으로 한 드라이브 바이 다운로드 방법으로 감염된다.

설치된 다운로더가 명령제어(C&C) 서버와의 통신을 통해 랜섬웨어를 다운로드한 후 실행된다. 현재 C&C 서버는 동작을 멈춘 상태로 응답하지 않는다.

다운로더는 사이트 방문자의 관심을 끌만한 페이지에 삽입돼 있으며, 플래시 플레이어 업데이트를 유도하는 페이지와 함께 ‘install_flash_player.exe’ 파일이 설치된다.

이 랜섬웨어는 서버 메시지 블록(SMB) 공유 서비스를 통해 확산되며, 감염된 컴퓨터에서 계정 정보를 수집하고 있다. 감염될 경우 40시간 내 0.03 비트코인(약 285달러)을 보내라고 협박한다.

이셋에 따르면 배드 래빗 랜섬웨어 감염 분포는 ▲러시아 65% ▲우크라이나 12.2%, ▲불가리아 10.2% ▲터키 6.4% ▲일본 3.8% ▲기타 2.4%다. 악성 스크립트를 포함하는 웹 사이트의 분포도와 거의 일치한다.

김남욱 이셋코리아 대표는 “이번 랜섬웨어는 손상된 웹사이트를 통해서 감염되는 것으로 알려졌다”며 “웹사이트 방문 때 추가 프로그램의 다운로드에 더욱 주의를 기울여야 하며, 웹 브라우저 수준의 악성코드 보호 솔루션은 랜섬웨어 피해를 예방하는데 도움을 줄 수 있다”고 말했다.

이어 “SMB를 이용한 파일 공유 서비스를 사용하는 환경에서는 랜섬웨어 감염 확산뿐 아니라 파일 공유 서비스를 이용하는 원격지PC에 의한 공유 폴더 내 파일 암호화 방지에도 각별한 주의가 필요하다”고 덧붙였다.

<최민지 기자>cmj@ddaily.co.kr